報告概述
安全值行業報告是基于威脅情報數據,利用大數據的分析方法對行業整體安全狀態進行評價和分析,本次對全國204家三甲醫院進行數據采集,并進行安全評價和量化風險分析,包括業務安全、隱私安全、應用安全、主機安全、網絡安全、環境安全6個維度。
通過安全值對第一季度的數據分析發現:
根據2016-5-31安全值數據,重點醫院的安全值為861,整體評價為 “一般”,共204家,其中101家(49%)評價為“良好”;97家(48%)評價為“一般”;6家(4%)評價為“較差”。
過去3個月內共發現101家醫院(48%)存在僵尸網絡風險。對2016-3-8至2016-6-8(近3個月)的數據進行詳細分析,發現70家醫院76個IP資產被曝僵尸網絡,2405次僵尸網絡報警。其中近3個月告警次數最多的IP告警次數為726次,超過50次告警的IP數為11個。其中5個為疑似共享IP資產,存在高風險。
一. 行業總體概況
根據2016-6-8安全值數據,重點醫院的安全值為861,整體評價為 “一般”,共204家三甲醫院,其中101家(49%)評價為“良好”;97家(48%)評價為“一般”;6家(3%)評價為“較差”。
| 評價得分范圍數量占比 | |||
| 良好 | 901-1000 | 101 | 49% |
| 一般 | 601-900 | 97 | 48% |
| 較差 | 400-600 | 6 | 3% |
1.1. 總體安全值分布
從安全值的分布情況來看,其中116家三甲醫院得分高于或等于平均值861,88家得分低于平均值,最低分數為515分。
1.2. 互聯網資產統計
安全值對互聯網資產進行分析統計,包括各機構注冊的域名、面向互聯網開放的主機服務(不僅限于Web服務的網站)和公網IP地址。
本次采集的數據中域名共有213個,公網主機1490個,公網IP地址877個,平均每個機構有13個互聯網資產。
二. 風險分布及量化評估
2.1. 風險量化評估
根據業內的信息安全風險管理最佳實踐,結合風險等級、影響范圍、頻率、數量、時間各方面要素建立量化風險的計算模型,對整體情況的6個風險域(業務安全、應用安全、隱私安全、主機安全、網絡安全和環境安全)進行量化評價。
2.2. 存在風險的機構數量
| 總數業務 安全應用 安全隱私 安全主機 安全網絡 安全環境 安全 |
|||||||
| 機構數量 | 204 | 65 | 28 | 137 | 110 | 30 | 0 |
應用安全和主機安全較為嚴重,有137家醫院存在隱私安全風險,110家存在主機安全問題,報告第4章對僵尸網絡風險進行了詳細分析。
三. 風險指標分析
安全值整體基于12個風險指標支撐6個維度的安全評價,分別對各項風險指標影響的機構數量進行統計便于找出較集中的問題。
四. “僵尸網絡”風險詳細分析
指標說明:反映出網絡內的服務器或者終端已經被植入木馬、后門,被非法控制成為“肉雞”,對外發起了掃描或者攻擊的行為。
過去12個月內共發現101家醫院(49%)存在僵尸網絡風險。對2016-3-8至2016-6-8(近3個月)的數據進行詳細分析,發現70家醫院76個IP資產被曝僵尸網絡,2405次僵尸網絡報警。
| 類型 | C&C攻擊 | 混合攻擊 | Nginx攻擊 | SQL注入攻擊 | 暴力破解攻擊 |
| 次數 | 565 | 63 | 22 | 13 | 33 |
| 類型 | TCP半鏈接攻擊 | 掃描嗅探 | 訪問后門 | 上傳木馬 | 其它攻擊 |
| 次數 | 648 | 724 | 51 | 100 | 1885 |
其中近3個月告警次數最多的IP告警次數為726次,超過50次告警的IP數為11個。其中5個(標記為黃色底色)為疑似共享IP資產(*),存在高風險。
| IP資產開始時間結束時間告警次數 | |||
| 42.***.***.78 | 3/29/16 00:00 | 6/7/16 00:00 | 726 |
| 114.**.***.211 | 4/24/16 00:00 | 6/8/16 12:29 | 315 |
| 124.***.**.133 | 5/1/16 00:00 | 6/8/16 14:12 | 208 |
| 58.**.***.216 | 5/2/16 00:00 | 5/29/16 00:00 | 132 |
| 220.***.***.123 | 4/29/16 21:07 | 6/8/16 13:10 | 109 |
| 103.***.***.133 | 3/14/16 00:00 | 6/8/16 00:00 | 87 |
| 221.***.***.6 | 3/9/16 00:00 | 6/7/16 00:00 | 75 |
| 61.***.***.3 | 3/9/16 00:00 | 6/7/16 00:00 | 75 |
| 219.***.***.21 | 5/27/16 08:05 | 6/6/16 10:40 | 58 |
| 219.***.***.34 | 5/28/16 00:40 | 6/6/16 11:15 | 54 |
| 58.**.**.202 | 5/27/16 07:50 | 6/1/16 13:00 | 54 |
注:
共享IP資產:共享IP資產為多家不同機構的域名共用同一個IP資產。一般是委托第三方管理網站或者租賃虛擬網站等時會使用共享IP資產。
針對上述5個共享IP資產近一個月被域名劫持個數為:
| IP資產近一個月被域名解析個數 | |
| 42.***3.***.78 | 10個域名 |
| 58.**.***.216 | 81個域名 |
| 220.***.***.123 | 8個域名 |
| 220.***.***.123 | 6個域名 |
| 103.***.***.133 | 60個域名 |
搜集了2016年3月8日到2016年6月8日攻擊數據,其中5月27日到6月1日非法外連行為最多。
從24小時的分布情況來看,僵尸網絡行為主要集中在00:00-00:59。
處置建議:
1.針對共享IP資產,盡量不要使用。因為共享IP資產引起的攻擊行為會影響該企業的聲譽;
2. 行業機構應該加強網絡行為的監控能力,結合內外部的數據對IP網絡進行排查,對照日志排查被入侵的主機,及時清楚木馬后門,對服務器和辦公網絡出口的外連行為進行審計;
3. 建議加強終端安全管理要求,根據實際情況不熟上網行為管理進行控制。
風險指標說明
安全值根據外部大數據和威脅情報數據進行挖掘,建立并持續更新指標體系,當前由12項安全風險指標支撐安全評價和分析。
域名劫持:域名解析異常,部分用戶數據可能被非法劫持;域名被封:域名被判定為不可信任的域名,部分用戶可能無法訪問;郵箱被封:郵件地址被認為垃圾郵件域,發出的郵件可能被認為垃圾郵件;IP被封:IP被判定為惡意地址,可能影響網絡正常通訊;漏洞披露:在互聯網安全社區上披露了系統的安全漏洞;Web攻擊:在線Web系統遭受了黑客的Web攻擊或掃描;域名信息泄露:域名未做隱私保護,域名管理員可能會遭受釣魚攻擊;帳號信息泄露:企業的員工帳號在第三方數據庫中被泄露,可能包括密碼等敏感信息;惡意代碼:信息系統上發現后門、病毒、木馬等惡意代碼;僵尸網絡:網絡內的主機可能已經被入侵,并植入木馬、后門程序;異常流量:在線系統或網絡遭受DDOS拒絕服務攻擊;公有云風險:您正在與惡意網站共用同一個云服務資源。
京公網安備 11010502049343號